La seguridad de la información en la gestión de proyectos de TI: ¿Un análisis de vulnerabilidades es suficiente?
- 14/12/2016
- Internacional
Por Jeimy Cano, Ph.D, CFE Director Revista SISTEMAS at Asociación Colombiana de Ingenieros de Sistemas - ACIS
Es frecuente que los líderes de proyectos en el desarrollo de sus actividades ubiquen los temas de seguridad y control como un “contrapeso” que demora la puesta en operación de sus soluciones.
Cuando escuchan hablar de los requerimientos de seguridad y control, piensan en la entrega oportuna, en la presión del cumplimiento de los tiempos y recursos inicialmente comprometidos, pues todo aquello que “demore” o implique más trabajo, será un capítulo posterior a la puesta en operación.
Cuando la seguridad de la información no hace parte de la especificación de un proyecto desde su génesis, sólo inestabilidades estarán presentes en el momento de su paso al ambiente productivo, la incertidumbre de la confiabilidad de la solución será la constante y los eventos inesperados, lo que vivan los usuarios finales. Esta realidad asistida por lo inicialmente planteado, revela la debilidad del compromiso con la protección de la información, que en últimas es lo que se modela a través de una implementación tecnológica y lo que el negocio reconoce como uno de sus activos claves.
Bien anotan varios investigadores sobre el desarrollo de software que hacer soluciones informáticas sin seguridad de la información desde el inicio, es como un trapecista que se juega la vida en las cuerdas y trapecios, sin malla de contención, sin las debidas consideraciones de prevención, lo cual puede comprometer la integridad de la persona y en este caso, no sólo de la aplicación, sino de la organización (Trump, 2012).
Los especialistas en proyectos de TI y los arquitectos de software deben comprender que la seguridad de la información no es un requerimiento no funcional, sino un requerimiento de negocio. Esto se sustenta en el hecho de que lo que finalmente se modela en la solución es la interacción entre procesos donde fluye información, la cual es un elemento valioso del proceso y por lo tanto, debe ser protegida de acuerdo con el nivel de sensibilidad que el negocio establece (Martin, 2009).
En este sentido, entender la dinámica de la aplicación y particularmente sus interfaces donde comparte información, se convierte en un saber fundamental tanto para el líder de proyecto, el arquitecto de software como el profesional de seguridad, como quiera que ignorar esta realidad puede menoscabar no solo la funcionalidad prevista para la solución, sino habilitar entornos más inseguros donde la posibilidad de una brecha no prevista impacte la imagen de la empresa y esto es más evidente, si los datos que se exponen son los de terceros, cuyo deber legal de protección tiene la empresa.
Es importante anotar, que todos los que participan en el desarrollo de una solución, deben tener en cuenta las posibles responsabilidades que adquiere la empresa en el evento de una falla de seguridad y la consecuente exposición de datos que pueda haber. Este ejercicio debe ser realizado en conjunto con el negocio, el área jurídica y el equipo de proyecto, para que con un entendimiento homogéneo de los riesgos, se puedan asegurar los mínimos requeridos y aprobados que, ante una falla inesperada, sea viable probar el debido cuidado, la previsibilidad y la diligencia que se ha tenido frente al resultado del proyecto.
Así las cosas, cuando un líder de proyecto establece que una prueba de vulnerabilidades es suficiente para probar las condiciones de seguridad de una interfase, de la actualización de un componente de una aplicación, deberá meditar en las responsabilidades que no solo asume al tomar esta posición, sino las implicaciones que una falla de seguridad y control puede ocasionar para la organización, habida cuenta que su estándar de debido cuidado no ha sido lo suficientemente detallado, frente a la implementación que se ha efectuado (Pramanik, 2013).
La seguridad de la información en la gestión de proyectos debe ser incorporada desde la conceptualización de la solución, entendiendo en la fuente con las expectativas del negocio, el nivel de sensibilidad de la información, los impactos que se tiene en las metas estratégicas y las responsabilidades que dicha información genera para la empresa (Shostack, 2014). En este entendimiento, no es solo establecer y desarrollar el plan detallado de actividades, sino comprender los retos estratégicos que la información va conectar y cómo la solución lo potenciará de manera confiable.
Es claro que los ejecutivos de las empresas, requieren agilidad en la entrega de las soluciones, pues el “time to market” genera presiones estratégicas que cada empresa debe manejar, por lo tanto, el equipo del proyecto junto con sus patrocinadores deberán tomar riesgos de forma inteligente, con los impactos que estos puedan tener, para motivar acciones que aceleren la entrega de lo previsto con nivel de seguridad y control acordado, más no con el recomendado (Fairbanks, 2010).
En consecuencia los ejecutivos de las empresas deberán estar notificados de al menos algunas prácticas que se llevan a cabo para concretar soluciones de negocio, que cumplan con las especificaciones requeridas de funcionalidad y el marco de seguridad y control base, que aseguren el debido cuidado de la empresa frente al reto de la inevitabilidad de la falla (Austin y Nolan, 2016) en el desarrollo, entrega y puesta en operación de una solución de software o tecnología de información:
- Identificar de los activos digitales y de información claves que estará involucrados en el desarrollo de la solución
- Determinar las responsabilidades legales que tiene la empresa con la información que se modela y fluye en la solución de negocio (incluidos los grupos de interés afectados).
- Establecer el nivel de sensibilidad de la información que la aplicación utilizará y las medidas de seguridad y control requeridas para asegurarla de acuerdo con dicho nivel.
- Consultar los informes de auditoría previos que afectan el proceso que se interviene con el proyecto de implementación de software, con el fin de atender y asegurar los hallazgos que sean pertinentes su alcance.
- Configurar el estándar de debido cuidado necesario y suficiente para atender los retos propios del desarrollo de aplicaciones, que atienda las exigencias de los entes de control, el perfil de riesgo del negocio y las expectativas de la gerencia frente a sus objetivos estratégicos.
La seguridad de la información en la gestión de proyectos de tecnología de información establece parte del compromiso de la ética con los datos de las personas y empresas, así como la responsabilidad digital de la organización, que entiende que los sistemas de información son puentes que habilitan nuevas oportunidades de negocio y al tiempo se convierten en garantes de los derechos individuales y exigencias jurídicas que confirman la autodeterminación informática de sus usuarios o participantes.
Referencias
Austin, R. y Nolan, R. (2016) Leading in a world without secrets. Harvard Business Review. December. Recuperado de: https://hbr.org/2016/12/leading-in-a-world-without-secrets
Fairbanks, G. (2010) Just enough architecture: The risk-driven model. CrossTalk. Journal of Defense Software Engineering. Nov/Dic. Recuperado de: http://static1.1.sqspcdn.com/static/f/702523/9359219/1289413590470/201011-Fairbanks.pdf
Martin, R. (2009) Making Security Measurable and Manageable. CrossTalk. Journal of Defense Software Engineering. Sept/Oct. Recuperado de: http://static1.1.sqspcdn.com/static/f/702523/9188640/1288393509237/200909-Martin.pdf
Pramanik, S. (2013) Security architecture approaches. CrossTalk. Journal of Defense Software Engineering. Nov/Dic. Recuperado de: http://www.crosstalkonline.org/storage/issue-archives/2013/201311/201311-Pramanik.pdf
Shostack, A. (2014) Threat Modeling: Designing for Security. Indianapolis, Indiana. USA: John Wiley & Sons. Recuperado de: https://news.asis.io/sites/default/files/Threat%20Modeling.pdf
Trump, I. (2012) Confronting the Legal Liabilities of IT Systems. EDPACS. Vol.46., No. 2.
